sepolicy 配置和快速验证

最新推荐文章于 2023-07-01 14:23:08 发布
最新推荐文章于 2023-07-01 14:23:08 发布
阅读量1.9k 收藏 9
点赞数 2
分类专栏: Android 文章标签: linux ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kanyou222/article/details/124469152
版权

sepolicy修改后 快速验证
编译:(只针对 .te 的文件, 如果file_contexts service_contexts 这种文件好像不行)

make selinux_policy -j8  // vendor 和system 都修改了
make  selinux_policy_nonsystem  -j8  // 只修改 vendor相关的sepolicy
编译成功后,只需要替换如下文件 vendor_sepolicy.cil,即可快速验证
/vendor/etc/selinux/vendor_sepolicy.cil

添加native 服务后 sepolicy 配置:

file_contexts:

#这个可执行程序, 文件本身被配置成 clouddiskd_exec 的 selinux 标签
而当运行时,成为一个进程时,这个进程会被配置成 clouddiskd 的 selinux 标签
 /system/bin/clouddiskdaemon u:object_r:clouddiskd_exec:s0

service_contexts :

# clouddiskd 这个进程,他里面有个服务, 也要为这个服务配置 selinux 标签
CloudDiskDaemon                             u:object_r:clouddiskd_service:s0


clouddiskd.te :

# clouddiskd 是给进程打标签的
# domain 是每个进程都要配置的。 coredomain代表核心进程
type clouddiskd, domain,coredomain;
# clouddiskd_exec是给文件本身打便签的 system_file_type 是指在 system 下面的bin文件

type clouddiskd_exec, system_file_type, exec_type, file_type;   
typeattribute clouddiskd mlstrustedsubject;

# 进程上下文 必须配置这个
init_daemon_domain(clouddiskd)
 # 允许 clouddiskd 这个进程能向servicemanager管理服务执行 call transfer ,因为进程clouddiskd中有个服务,需要和servicemanager沟通。
binder_call(clouddiskd, servicemanager) 
#允许 clouddiskd 进程  {add find} 服务 clouddiskd_service 
add_service(clouddiskd, clouddiskd_service)  
# 允许系统服务 发现 native 层的 clouddiskd_service 服务
allow system_server clouddiskd_service:service_manager { find };  
allow system_app clouddiskd:binder { call };  # 让系统app 能调用这个服务
# 由于这个进程没有权限访问/data/data/com.tencent.mm 私有数据,所以会报 dac_override dac_read_search 错误
allow clouddiskd self:global_capability_class_set { chown dac_override dac_read_search fowner fsetid setgid setuid sys_admin };

-rwxr-xr-x 1 root shell u:object_r:clouddiskd_exec:s0 27912 2022-04-27 19:09 /system/bin/clouddiskdaemon
​u:r:clouddiskd:s0 root 773 1 2161152 3848 binder_ioctl_write_read 0 S clouddiskdaemon

添加系统服务后,sepolicy配置

service_contexts:

# CloudDiskService  是系统服务的名称,通过这个名称就能找到这个服务                      
CloudDiskService                           u:object_r:clouddisk_service:s0


service.te:

type clouddisk_service, system_api_service, system_server_service, service_manager_type;
 

Hogan_pei
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
快速修改验证Sepolicy(Selinux)
最新发布
jiangchaobing_2017的博客
06-05 909
需要注意的是,SELinux的工作模式可以在/etc/selinux/config文件中进行配置。在此模式下,SELinux仍然监控所有进程和文件访问,但即使检测到违反策略的行为,也不会阻止它们。SELinux(Security-Enhanced Linux)有三种主要的工作模式,这些模式决定了SELinux在系统上实施安全策略的方式。此外,SELinux日志的记录需要借助auditd.service这个服务,因此请不要禁用它,以确保SELinux能够正常工作并记录所有必要的信息。
TE文件编译输出文件
guofeizhi的博客
11-28 1261
TE文件编译输出文件 /android/out/target/product/Project_name/vendor/etc/selinux/vendor_sepolicy.cil 其他selinux文件输出文件也在当前目录下 plat_pub_versioned.cil plat_sepolicy_vers.txt precompiled_sepolicy prec...
Android P SELinux权限修改快速验证
arrol1786936883的博客
07-29 2723
SELinux权限修改快速验证修改编译验证 修改编译 Android P在android/system/sepolicy和android/device/qcom/sepolicy/目录下修改或添加xxx.te文件后,可通过make selinux_policy命令进行编译。 make selinux_policy产生的编译文件会输出到out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux目
Android系统10 RK3399 init进程启动(三十) Selinux编译方法
ldswfun的专栏
07-07 3100
本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志
Android 浅度解析:系统框架层修改,编译,推送相关操作
一歲抬頭的博客
07-01 7491
本文将详细介绍Android系统框架层如何编译和推送这些修改,以及如何进行一些常见的操作。
Android SePolicy验证方法
weixin_39690295的博客
01-15 1516
Android SePolicy验证方法 Android P之后,Selinux权限控制,需要编译以下的目录加以验证 1.编译 make sepolicy 2.编译 system/etc 3.编译 vendor/etc 4.adb push out/tartget/product/XXX/system/etc/selinux/ system/etc/selinux/ adb push out/tartget/product/XXX/vendor/etc/selinux/ vendor/etc/seli
sepolicy
03-04
"sepolicy"是Android系统中的一个关键组件,全称为“Security Policy”,它是Android安全模型的重要组成部分,主要用于定义和实施系统的权限策略。sepolicy是Selinux(Security-Enhanced Linux)在Android上的具体...
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
- **验证与编译**:使用`make`和`make install`命令来编译和安装新的策略,然后重启设备以应用更改。 **6. 开发者指南** 对于Android开发者来说,理解并正确配置这些新特性至关重要。以下是一些建议: - 学习和...
selinux权限配置指南.pdf
01-21
根据Android selinux官方文档,结合实践,总结梳理切合实际开发的sepolicy配置文档
system_sepolicy
03-17
system_sepolicy
Android8.1 新增系统自定义服务一 (SELinux权限)
热门推荐
kaijiehui
10-27 1万+
           一开始并没有注意到android8.0以后和之前有多大区别,知道最近有需求要求增加一个自定义服务,一直没有生效报avc权限问题 在SystemServer startOthreService中 ServiceManager.addService () 出现了AVC权限: SELinux: avc denied {add} for service=gesture pid=...
一文学会Sepolicy(Selinux)快速修改验证
weixin_36389889的博客
01-29 983
一文学会Sepolicy(Selinux)快速修改验证
SeLinux权限配置心得总结
u013357557的专栏
02-20 4699
SeLinux权限配置心得总结 1、编译命令: make selinux_policy 或者 cd system/sepolicy mm 2、编译后生成策略文件的路径: 需要替换验证的文件,替换后要修改读写执行权限跟之前一样: out\target\product\platform\root\plat_* out\target\product\platform\root\nonplat_* out\target\product\platform\vendor\etc\selinux\precompile
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android SELinux 权限相关问题
jwg1988的博客
03-30 957
adb push out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux到设备的/system/etc/和/vendor/etc/目录,重启设备即可生效。验证方法如上述,可是,死活就是不成功,错误一点都没变,说明添加的一直未生效,最后生生就在这卡了一天,增量编,整编都试了,最后问题出在。再做OTA的时候,需要zip包放在data/ota_package下,再操作的时候,报错如下。
Android 源码系统添加系统服务
yihanss的博客
04-04 828
以下内容基于Android12 源码进行整理 下面内容是基于Camera升降机服务添加过程整理。
Android9 Sepolicy规则基础 - MTK平台
技海淘金
02-29 4901
1. SELinux的基础原则 默认拒绝原则 - 任何未经明确允许的行为都会被拒绝(即:白名单制) 2. SELinux的两种执行模式 宽容模式 - 权限拒绝事件会被记录下来,但不会被强制执行。(权限不够时,仅警告) 强制模式 - 权限拒绝事件会被记录下来并强制执行。(权限不够时,拒绝执行) 3. SELinux在安卓平台上的演变 低于安卓4.3 - 默认不支持SELinu...
android sepolicy
06-02
SEPolicy定义了Android系统中各个组件(如应用程序、系统服务等)间的权限和访问控制规则,从而保证系统的安全性。 SEPolicy包含多个策略文件,这些文件通常存储在/system/etc/selinux目录下。策略文件定义了各个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值